БРОЙ 47, Октомври 2025 г.

За легитимния интерес като основание за обработването на лични данни от работодателите

Актуално

За легитимния интерес като основание за обработването на лични данни от работодателите

 

Проф. д-р Мартин Захариев, съдружник в Адвокатско дружество „Димитров, Петров и Ко.“, старши правен експерт във Фондация „Право и интернет“ и преподавател в Университета по библиотекознание и информационни технологии (УниБИТ)

 

 

Актуално към 15.10.2025 г.

 

1. Уводни бележки

 

Легитимният интерес на администратора (или на трето лице) е едно от възможните правни основания за обработването на лични данни по чл. 6, пар. 1 от Общия регламент относно защитата на данните 2016/679 (GDPR). Настоящият анализ е посветен именно на това основание, с особен фокус върху възможността работодателите да се позоват на свои легитимни интереси в контекста на трудовоправната връзка с работниците/служителите (за краткост надолу „служителите“).

 

Следва да се отбележи, че не съществува йерархична зависимост между отделните правни основания за обработване на лични данни – те са алтернативни и равнопоставени[1]. Наличието на кое да е от тях е достатъчно за законосъобразността на обработването, разбира се, при спазване на принципите, свързани с обработването на лични данни, и останалите изисквания на GDPR.

 

Легитимният интерес по чл. 6, пар. 1, б. „е“ от GDPR е подходящо правно основание за работодателите в случаите, когато:

 

  • по определени причини не желаят да базират обработването на основание, което зависи от получаването на волеизявление от страна на служителя – така напр. обработването зависи от волята на служителя в случаите на:

 

- (i) обработване, необходимо за целите на сключване/ изпълнение на трудовия договор или друг вид договор, свързан с трудовото правоотношение (напр. договори за повишаване на квалификацията и за преквалификация по чл. 234 от Кодекса на труда (КТ)) или

 

- (ii) обработване, базирано на съгласието на субекта на данните (напр. за предоставяне на допълнителна социална придобивка като спортни карти за посещаване на развлекателни обекти при преференциални условия[2]), както и

 

  • не разполагат със законово основание за обработката на личните данни (т.е. предвидено в нормативен акт задължение, налагащо извършването на такава обработка).

 

Разбира се, позоваването на това основание не е просто формалност. Същото има определени специфики, които работодателите трябва да отчитат и във връзка с които трябва да може да докажат наличието на  определени предпоставки. Тези особености са разгледани по-подробно надолу.

 

 

2. Примери за легитимен интерес в контекста на трудовите правоотношения

 

Най-напред, за да се илюстрира значимостта на това правно основание, следва да се посочат някои от най-типичните примери в практиката, при които работодателите разчитат на своя легитимен интерес за обработването на лични данни. Такива (без претенции за изчерпателност) са:

 

  • Въвеждането на различни видове информационни системи за работа, отчитане на изработеното[3] и контрол върху трудовата дисциплина;

 

  • Мониторинг и контрол на информационния трафик в информационните системи на работодателя, в т.ч. и на служебната кореспонденция[4], за защита на правата и законните интереси на работодателя – напр. за предотвратяване на злоупотреби с доверието на работодателя и разпространяване на конфиденциална информация, вкл. търговска тайна, за противодействие на киберзаплахи и други злоумишлени действия и т.н. (разбира се, при въвеждане на подходящи правила и политики, гарантиращи, че при тези дейности няма да се достъпи лична кореспонденция на служителите);

 

  • Въвеждане на видеонаблюдение с цел самоохрана и опазване на имуществото на работодателя, както и здравето и сигурността на намиращите се на територията на предприятието му лица (това са легитимни интереси и според практиката на Комисията за защита на личните данни (КЗЛД), но същата отрича напр. възможността да се ползват записите от такова видеонаблюдение за целите на оценка на представянето и изпълнението на трудовите задължения на служители във връзка с определянето на допълнителното им трудово възнаграждение[5]);

 

  • Иницииране и провеждане на различни видове производства за защита на правата и законните интереси на работодателя – дисциплинарни производства[6], производства за реализиране на имуществената отговорност на служителите[7] и др. Следва да се отбележи, че тези производства са детайлно разписани в КТ, съответно работодателите трябва да се придържат към определени изисквания, уредени в нормативната уредба относно провеждането на тези производства (напр. в дисциплинарното производство такива са: изслушването на служителя или приемането на писмените му обяснения; спазване на сроковете за налагането на дисциплинарно наказание; отчитане на тежестта на нарушението, обстоятелствата, при които е извършено, както и поведението на работника или служителя; издаване на мотивирана заповед и др.). Дали ще инициират такива производства или не обаче е оставено на субективната преценка на работодателя, т.е. за същия няма законово задължение да проведе такова производство, съответно обработването не следва да се приеме, че се извършва на основание законово задължение. Самата защита на правата и интересите на работодателя, реализирана чрез такива производства, трудно може да се приеме и за необходима за целите на изпълнение на трудовия договор, т.к. това не е нормалното развитие на трудовоправната връзка. Затова и именно подобни производства и свързаното с тях обработване на лични данни изглежда логично да се базира именно на легитимния интерес на работодателя (вкл. и чл. 21, пар. 1 от GDPR припознава установяването, упражняването или защитата на правни претенции за обработване, базирано на легитимен интерес).

 

  • Въвеждане на електронно трудово досие – доколкото това е право, а не задължение на работодателя[8]. Това се отнася само до обработването на лични данни, свързано с въвеждането и работата със съответната информационна системата (създаване на потребителски профили, съхраняване на логове относно достъпа и работата със системата и т.н.); самото водене на трудово досие и съответно съхраняване на документи с лични данни в него си остава базирано на законовото задължение на работодателя по чл. 128б КТ[9].

 

Следва да се отбележи, че някои от горните операции по обработване налагат и допълнителни задължения за работодателите като администратори на лични данни. Така напр. чл. 25и от Закона за защита на личните данни (ЗЗЛД) изисква работодателите да приемат правила и процедури при:  

 

  • използване на система за докладване на нарушения;  
  • ограничения при използване на вътрешнофирмени ресурси;  
  • въвеждане на системи за контрол на достъпа, работното време и трудовата дисциплина

 

Тези правила и процедури трябва да съдържат информация относно обхвата, задълженията и методите за прилагането им на практика. Служителите следва да бъдат уведомени за тези правила и процедури, което според някои автори представлява „конкретизация и частен случай на въвеждането на правни гаранции за правото на информация на субекта на данните“[10]. Макар фокусът на настоящия анализ да не е върху тези национални изисквания по ЗЗЛД, е добре работодателите да държат сметка за тях, ако извършват някои от посочените дейности, за да подсигурят допълнително законосъобразността на своите вътрешни процеси по обработване на лични данни.

 

 

3. Оценка за наличието на легитимен интерес

 

За да прецени един работодател дали може да се позове на легитимен интерес, той трябва да извърши т.нар. оценка за наличието на легитимен интерес. Това е документиран анализ, отчитащ определени обстоятелства, свързани с планираното обработване, и даващ отговор на това може ли да се продължи с обработването именно на това основание.

 

Още в Становище 06/2014 относно понятието за легитимни интереси на администратора на лични данни по чл. 7 от Директива 95/46/ЕО (отм.) на Работната група по член 29 се посочва, че основанието легитимен интерес (към момента на издаване на посоченото становище – уреден като основание в директивата за защита на личните данни на ЕС, предхождаща приемането на GDPR – бел. авт.) се съдържат основните компоненти на тази оценка[11]. Към днешна дата Европейският комитет по зашита на данните (ЕКЗД) пък е издал Насоки 1/2024 (Насоките) относно обработването на лични данни на основание чл. 6, ал. 1, б. „е“ от GDPR от 8 октомври 2024 г.[12] (същите по данни от сайта на ЕКЗД са на етап приключена обществена консултация, т.е. е възможно да претърпят определени минимални изменения преди утвърждаването на финална версия; все пак, в преобладаващата си част се очаква те да останат непроменени, затова и настоящият анализ коментира Насоките във вида, в който са достъпни към момента на изготвянето му – бел. авт.).

 

Насоките посочват, че оценката за легитимен интерес включва 3 кумулативни елемента (стъпки), които администраторите на лични данни трябва да направят, както следва:

 

  • Наличие на легитимен интерес на администратора (или на трето лице);

 

  • Анализ за това дали обработването е необходимо за определените цели;

​​​​​​​

  • Извършване на тест за баланс на противоположните интереси на администратора (третото лице) и субектите на данни.

 

По-долу всеки от тези компоненти е разгледан в детайл.

 

 

3.1. Наличие на легитимен интерес

 

За да бъде даден интерес „легитимен“, съгласно Насоките той трябва да отговаря на следните кумулативни критерии:

 

  • Да бъде законен, т.е. да не противоречи на правото на ЕС и на законодателството на съответната държава членка (в случая с българските работодатели – на българското законодателство);

 

  • Да бъде ясно и точно формулиран. Това е необходимо, за да може същият да бъде правилно балансиран спрямо интересите или основните права и свободи на субекта на данните при теста за баланс (стъпка 3 от оценката);

 

  • Да бъде реален и настоящ, а не спекулативен.

 

Ето защо, в своята оценка работодателите следа да могат ясно и точно да дефинират легитимния интерес, който преследват, той да бъде реално съществуващ, а не хипотетичен. Неслучайно и документите по чл. 13 и 14 от GDPR, с които субектите на данни се информират за обработването в съответствие с принципа на прозрачност, трябва да съдържат информация и за конкретните легитимни интереси,  преследвани от работодателя или трета страна. Т.е. посочването единствено на това, че обработването се извършва на легитимен интерес, без допълнителна конкретизация какъв е той, не е достатъчно.

 

 

3.2. Анализ за това дали обработването е необходимо за определените цели

 

При отговора на въпроса дали обработването наистина е необходимо за постигане на целите на обработването Насоките посочват, че това включва и съобразяване на основните права на неприкосновеност на личния живот и защита на личните данни, както и изискванията, произтичащи от принципите за защита на данните.

 

По същество, преценката за необходимостта от обработването означава да се отговори на въпроса Възможно ли е целите на обработването разумно да се постигнат по други начини и с други средства, които в по-малка степен засягат основните права, свободи и интереси на субектите?.

 

Ако отговорът е утвърдителен, тогава обработването не следва да се приеме за необходимо за целите на обработването. Това изискване се тълкува и в светлината на принципа на свеждане на данните до минимум, налагащ личните данни, които се обработват, да са:

 

  • подходящи,
  • свързани със и
  • ограничени

 

до необходимото във връзка с целите, за които се обработват (чл. 5, пар. 1, б. „в“ от GDPR).

 

 

3.3. Извършване на тест за баланс на противоположните интереси

 

Може би най-трудна и предизвикателна е третата стъпка от оценката за легитимен интерес, а именно извършването на теста за баланс. Насоките очертават следните компоненти, които администраторите следва да включат в своя документиран тест:

 

  • Какви са интересите, основните права и свободи на засегнатите от планираното обработване субекти на данни? Тук следва да се зачетат не само правото на неприкосновеност на личния живот и защита на личните данни, но и други основни права и свободи – такива в контекста на трудовото отношение могат да бъдат правото на труд и социална закрила, правото да се търси и разпространява информация, свободата на изразяване, свободата на сдружаване, вкл. за защита на колективните интереси на служителите, забраната за дискриминация, правото на собственост и др. По отношение на интересите на засегнатите лица следва да се вземат предвид и всякакви релевантни в контекста на обработването интереси като финансови, социални, лични, здравни и др.

 

  • Какво ще е въздействието от обработването за засегнатите субекти? Тук следва да се отчете:

 

- какво е естеството на данните, които ще се обработват (има ли данни под специални режими като чувствителни данни и данни за присъди и нарушения по чл. 9 и 10 от GDPR или такива, които хората традиционно приемат за по-чувствителни като данни за местонахождението, данни от кореспонденция, данни за финансовото състояние, ЕГН и др. или по-скоро става въпрос за данни, които са от по-публичен характер – напр. позицията и служебните данни за контакт на даден служител, които често са поместени на интернет сайта на работодателя, на визитни картички и други подобни материали с маркетингова насоченост, които се разпространяват свободно. За чувствителните данни по чл. 9 следва да се отбележи, че има принципна забрана за обработването им, която може да се преодолее в определени изчерпателно изброени в чл. 9, пар. 2 от GDPR случаи, един от които е частен случай на легитимен интерес за установяване, упражняване или защита на правни претенции, но легитимен интерес като общо основание за обработване на такива данни не е предвиден. Данните за присъди и нарушения според тълкуванията на КЗЛД традиционно следва да се обработват от работодателите при наличие на законово изискване/задължение за това, но не и на легитимен интерес[13]);

 

- контекста на обработването (обема на обработването, евентуалното комбиниране на данните с други набори данни,  статуса на администратора и субекта на данни и наличието на връзка и евентуално отношение на субординация между него и субектите – какъвто напр. е случаят в отношенията работодател – служител, дали данните са публично достъпни и др.) и

 

- по-нататъшните последици от обработването (какви последици могат да произтекат за субектите на данни, вкл. дискриминация, изключване от услуги без алтернатива, правни последици, финансови загуби, рискове за свободата, сигурността, физическата и психическата безопасност на лицата, живота и здравето им и др.).

 

  • Какви са разумните очаквания на субектите на данни? Т.е. дали предвид спецификите на съответната ситуация, същите разумно може да очакват да се случва обработването, или по-скоро ще бъдат изненадани от него.

 

  • Финално балансиране на противоположните права и интереси, както и възможността администраторите да приемат допълнителни мерки за ограничаване на риска от планираното обработване за засегнатите субекти.

 

Ако резултатът от извършената дотук оценка е, че интересите, основните права и свободите на субекта на данните не надделяват над преследваните легитимни интереси, предвиденото обработване може да се осъществи.

 

Може да се наложи обаче и въвеждането на допълнителни мерки за ограничаване на риска – важно е да се отбележи, че това са мерки надхвърлящи задълженията на администратора по GDPR, защото последният така или иначе има посочените задължения и няма как да използва спазването им като аргумент в подкрепа на това, че е въвел подходящи допълнителни мерки за защита на интересите на субектите. Според Насоките примери за такива мерки са напр.:

 

  • предвиждане за възможност да се иска (упражни право на) изтриване извън хипотезите на чл. 17 от GDPR,
  • възможност да се иска (упражни право на) преносимост на данните извън случаите по чл. 20 от GDPR
  • и др.

 

 

4. Заключение

 

В заключение следва да се посочи, че извършването и поддържането в писмена форма на подобна оценка за легитимен интерес е в съответствие с принципа на отчетност по чл. 5, пар. 2 от GDPR. Разбира се, това изискване не следва да се абсолютизира до степен, в която създава ненужен формализъм и цялостно затруднява прилагането на това основание.

 

Има случаи, в които самият законодател е припознал обработването на основание легитимен интерес като законосъобразно и имащо преимущество над правата, свободите и законните интереси на субектите на данни. Такъв е напр. случаят с установяването, упражняването или защитата на правни претенции по чл. 21, пар. 1 от GDPR.

 

В други случаи обаче, особено при гранични ситуации, в които работодателите имат съмнения дали планирана дейност по обработването би имала преимущество спрямо основните права и свободи и интересите на субектите на данни, изготвянето на внимателна и аргументирана оценка на легитимния интерес с отчитане на всички релевантни фактори е важен инструмент за гарантиране на законосъобразността и отчетността на обработването.

Представеният анализ няма характера на правен съвет или консултация и не следва да бъде възприеман като достатъчен за разрешаването на конкретни правни проблеми, казуси и др. Мненията, изразени тук, са единствено на автора и не отразяват непременно тези на Адвокатско дружество „Димитров. Петров и Ко.“, Фондация „Право и Интернет“, УниБИТ, техните филиали или служители.

 

 

[1] Вж. в този смисъл КЗЛД. В кои случаи не се изисква съгласие за обработване на лични данни (достъпен към 15.10.2025 г.).

[2] Повече по темата вж. в КЗЛД. Становище на КЗЛД по въпроси, свързани с картите „Multisport” рег. №НДМСПО-17-949/28.11.2018г. от 21.12.2018г. (достъпен към 15.10.2025 г.).

[3] Изработеното може да бъде и обект, подлежащ на авторскоправна закрила. За това как се уреждат авторските права върху обекти, създадени по трудови отношения, като софтуер, бази данни и други произведения вж. Димитрова, Цв. Авторските права в трудовите правоотношения, публ. в бр. 3 от месец февруари 2022 г. на е-сп. „Труд и осигуровки ТИТА“ (достъпен към 15.10.2025 г.).

[4] За електронните документи и възможността да се ползват като доказателство в дадено съдебно производство вж. Върбанова, Г. Правен режим на електронните документи. Варна: Данграфик, 2020, с. 106 и сл., както и Върбанова, Г. Значение на електронните доказателства в контекста на киберсигурността и националната сигурност, Варна: Принт мастър, 2024,  с. 111 и сл.

[5] КЗЛД. Становище на КЗЛД относно законосъобразност на видеонаблюдение за целите на оценка на представянето и изпълнението на трудовите задължения на служители във връзка с определянето на допълнителното им трудово възнаграждение. рег. № ПНМД-17-239/2023 г. от 24.11.2023 г., (достъпен към 15.10.2025 г.).

[6] За дисциплинарната отговорност вж. Илиев, М. Трудова дисциплина и дисциплинарна отговорност на работника и служителя - I  част, II част и III част, публ. съответно в бр. 108 от месец октомври, бр. 109 от месец ноември и брой 110 от месец декември 2018 г. на е-сп. „Данъци ТИТА“ (достъпен към 15.10.2025 г.).

[7] За имуществената отговорност на работника и служителя вж. Илиев, М. Имуществена отговорност. Първо изд. 2019 г., пулб. в рубриката „Е-книги“ на е-сп. „Данъци ТИТА“ (достъпен към 15.10.2023 г.), т. III.

[8] Повече за воденето на е-трудово досие и за спорните моменти, свързани с него, вж. в Захариев, М. Критичен коментар на някои моменти от Наредбата за електронното трудово досие, публ. в бр. 11 от месец октомври 2022 г. на е-сп. „Труд и осигуровки ТИТА“ (достъпен към 15.10.2025 г.).

[9] Повече за задължението за водене на трудово досие вж. в Илиев, М. Относно задължението на работодателя да води трудово досие на работника или служителя, публ. в бр. 72 от месец декември 2015 г. на е-сп. „Данъци ТИТА“ (достъпен към 15.10.2025 г.).

[10] Александров, А. Проблеми на трудовите отношения в условията на обявено извънредно положение или обявена извънредна епидемична обстановка, София, „СПОТИНОВ ПРИНТ“ ООД, 2022, с. 72.

[11] WP29. Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC of 9 April 2014 (достъпен към 15.10.2025 г.).

[12] EDPB. Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR, Version 1.0, Adopted on 8 October 2024 (достъпен към 15.10.2025 г.).

[13] КЗЛД. Становище на КЗЛД относно изискването за представяне на свидетелство за съдимост при назначаване на неотчетни длъжности, Рег. №ПНМД – 01 – 5/16.01.2020г. от 20.02.2020 г. (достъпен към 15.10.2025 г.)